フランスのコンサルファーム、キャップジェミニ傘下のITサービス子会社Sogetiが、2021年に入って急速に存在感を増しているランサムウェア「Babuk」について73ページに及ぶ報告書を2021/04/27に公開した。

Le groupe Babuk s’est fait remarquer ce début d'année, par le succès rapide de cyberattaques ciblées via son rançongiciel contre de grandes entreprises. L'analyse de nos experts dans les #CyberSeChronicles : https://t.co/gjf73Ozkor

— Sogeti France (@sogeti_fr) 2021年5月12日

なぜか同社フランス語サイトからしかリンクが張られていないが、報告書本文は英語。筆者はマルウェア解析部分はまったく分からないので、自分のメモとして要点だけピックアップする。

Babukのオペレーターはダークウェブではなくサーフィスウェブの某有名ハッカー掲示板上で英語で広告を行っており、ランサムウェア内部にCIS諸国の言語設定を検知して動作を停止するといった「キルスイッチ」を備えていないのが特徴。

NGOなど非営利組織は攻撃しないが、LGBTやBlack Lives Matterといった活動を支援する団体は攻撃対象にするという政治的に保守的な傾向を持つ。

また、攻撃初期のオペレーションでApacheのセキュリティ上のミスを犯しており、セキュリティ業界では評価が低い（という表現が妥当なのかは分からないが）。

最初に報告があったのは2021/01/2、オペレーターはロシア語話者。ソースコードは難読化されていないが、自己開発のSHA256暗号化アルゴリズムChacha8と、鍵の保護に160～512ビット長のECDHを使っており、ほぼ復号不能の強力な暗号化スキームを有する。

報告書作成時点で被害企業はヘルスケア、金融機関、小売、運輸業界。地域はイスラエル、アメリカ、インド、ルクセンブルク、イタリア、スペイン、南アフリカ、アラブ首長国連邦、イギリス、中国、ドイツ。

身代金の額は60,000～85,000ドル。Bleeping Computerによれば少なくとも1社が85,000ドルを支払ったことが確認されているとのこと。 www.bleepingcomputer.com

OPSECのミスに加えてこの身代金の低さも、Babukがランサムウェアオペレーターとしてまだ駆け出しであることを示唆しているとされる。

ハッカーフォーラム上のオペレーター"biba99"に関するOSINT調査については、上記報告書を直接参照のこと。TelegramやInstagramにあるカザフスタン軍事警察のメンバーとのつながりを裏付ける強い証拠は見つからず、開発者がカザフスタン在住である可能性も中程度とのこと。

報告書にはBabuk被害を事前に防ぐ方法も書かれている。

Nextron社CEOのFlorian Roth氏がGithubで公開しているWindowsシャドーボリューム削除阻止ツール「Raccine」と、Sogeti社が今回の報告書で公開したBabukによる暗号化阻止Pythonスクリプトを合わせて、グループポリシーで配布しておけば、少なくともWindowsを標的とする暗号化被害は防止できる。 github.com

ただし当然ながら、データ窃取による二重脅迫や、DDoSも加えた三重脅迫の被害は防げない。

その他、オペレーターの連絡先（Protonmail）、リークサイト（doxing site）のURL（onion）、ランサムノート、停止されるWindowsサービスやプロセス、IOC、検知用のYaraルールなどは報告書を参照のこと。